이 가이드의 지침에 따라 하드 드라이브에서 전체 디스크 암호화를 수행했습니다.
파티션 테이블: GPT
옵션:cryptsetup luksFormat --cipher serpent-xts-plain64 --key-size 512 --hash sha512
루트, 스왑, 기본, 작업 공간, 암호화되지 않은 BIOS 부팅 파티션 등 4개의 암호화된 파티션이 있습니다. 부팅 시 비밀번호를 입력하고 OS에 들어가면 4개의 파티션이 모두 마운트되고 잠금 해제됩니다. 모든 파티션에는 동일한 비밀번호가 있습니다.
호기심에 우분투 디스크 응용 프로그램을 통해 파티션 "작업 공간"을 잠그고 마운트 해제했는데 내용이 사라지고 노틸러스에서 볼 때 빈 파티션처럼 되었습니다. 그 후에 나는 임의의 단어가 포함된 간단한 텍스트 파일을 작성했습니다. 저는 gedit GUI를 열고 그 안에 텍스트를 쓴 다음 파일을 잠긴 파티션 안에 새 텍스트 파일로 저장하여 이 작업을 수행했습니다. 더 정확하게 말하면 우분투의 디스크에서 파티션을 마운트 해제하고 잠근 후입니다. Nautilus를 열고 으로 이동했습니다 /root/workspace. 비어 있는 것으로 나타났습니다. 마우스 오른쪽 버튼을 클릭하고 새 텍스트 파일 만들기를 누른 다음 Gedit로 열고 내용을 쓴 다음 저장하고 닫았습니다. 그런 다음 디스크로 돌아가서 잠금을 해제하고 마운트하고 비밀번호를 쓴 다음 다시 노틸러스로 이동하여 /root/workspace암호화된 파일이 모두 제대로 작동하는 것을 확인했습니다.
그런 다음 파티션을 마운트하고 잠금을 해제했는데 내부 파일이 다시 나타났습니다. 모두 작동하고 손상되지 않았습니다. 그 후 암호화된 파티션 내에 약 10GB의 파일을 작성한 다음(파티션 내에 이미 존재하는 여러 파일을 다른 이름을 사용하여 복사하여 붙여넣는 방식으로 수행) 마운트를 해제하고 다시 잠갔습니다. 놀랍게도 텍스트 파일은 여전히 존재하며 손상되지 않았으며 영향을 받지 않은 동일한 단어를 포함하고 있습니다.
이제 이 상황에 대한 내 질문은
이로 인해 어떤 방식으로든 FDE가 중단되거나 새로운 공격 표면이 생성됩니까? 내 루트, 스왑 및 홈이 마운트되고 명확한 내부 볼륨 작업 공간에 쓰고 있으므로 이것이 어떤 식으로든 손상될 수 있으며 다른 파티션에서 사용되는 암호가 손상될 수 있습니까?
내가 아는 한 빨간색 Luks 헤더는 모든 파티션의 시작 부분에 있는데 마운트되지 않은 잠긴 파티션 안에 파일을 쓸 때 어떻게 손상되지 않습니까? 이 파일이 암호화된 파일의 Luks 헤더나 섹션을 덮어써야 합니까? 대신 모든 파일이 그대로 유지되므로 다시 설치하고 잠금을 해제할 수 있습니다.
질문 2 그 반대입니다. 잠금 해제되어 마운트된 파티션에 10GB 파일을 쓸 때 암호화되지 않은 텍스트 파일을 덮어써야 하지 않나요? 대신, 잠그고 마운트 해제하면 문자열이 포함된 파일이 그대로 유지됩니다.
올바른 가이드를 사용하고 있습니까? 아니면 어떤 식으로든 나를 취약하게 만드는 언급되지 않은 내용이 있습니까?
답변1
볼륨을 "잠금 해제"하면 실제로 다음 두 가지 작업이 수행됩니다.
- 이 볼륨의 내용은 시스템에서 다음과 같이 사용할 수 있습니다.블록 장치. 블록 장치를 디스크나 파티션, 가상 디스크나 파티션으로 생각하세요.
- 이 가상 디스크에는 정확히 다음이 포함되어 있습니다.파일 시스템, 파일 시스템은설치됨디렉토리에
/root/workspace. "설치하다"라는 뜻은파일 시스템이 이 디렉터리에 표시됩니다..
암호화된 볼륨의 잠금을 해제한 다음 파일을 작성했습니다 /root/workspace. 이 파일을 작성할 때 해당 /root/workspace파일은 루트 파티션의 일반 디렉토리였으며 마운트된 것이 없습니다. 따라서 방금 루트 파티션에 파일을 썼습니다. 암호화된 /root/workspace볼륨과 관련이 없으므로 암호화 된 볼륨에는 영향을 미치지 않습니다 .
암호화된 파일 시스템을 마운트하는 /root/workspace경우이 디렉터리의 파일 숨기기. 파일을 삭제하는 것이 아니라 일시적으로 액세스할 수 없게 만드는 것뿐입니다.
암호화된 볼륨을 덮어쓰려면 직접 액세스해야 합니다. 디스크나 파티션에 직접 쓸 수 없고 파일 시스템에만 쓸 수 있기 때문에 Gedit에서 직접 이 작업을 수행할 수 없습니다. 다음과 같은 것을 사용하여 명령줄에서 액세스할 수 있습니다 echo BREAK IT >/dev/sda99( sda99예제). 대신 루트로 실행하여 올바른 이름을 찾아야 합니다 sda99. 출력에는 findmnt올바른 이름이 포함되어 있습니다. 당연히 매우 조심해야 합니다. 왜냐하면 만약 그렇게 한다면~ 할 것이다암호화된 볼륨을 파기합니다. 잘못된 볼륨에서 이 작업을 수행하면 해당 볼륨을 사용할 수 없게 될 수 있습니다.
잘 구성된 시스템에서는 시스템의 마운트 지점으로 지정된 디렉터리에 쓸 수 없어야 합니다. 이 디렉터리는 /root/workspace루트로만 쓸 수 있어야 하며 루트로 작업해서는 안 됩니다. ( /root/workspace권한은 디렉토리에 아무 것도 설치되어 있지 않은 경우에만 중요합니다. 마운트하면 디렉토리 자체를 포함하여 디렉토리의 내용이 숨겨집니다.) 이렇게 하면 위험에 처한 파티션이 아닌 다른 파티션에 실수로 무언가를 저장할 가능성이 없습니다. . 의도: "권한 거부" 오류가 발생합니다. 파티션을 복구하려면 /root/workspace다음 명령을 사용할 수 있습니다./root/workspace아니요설치하다:
sudo chmod 755 /root/workspace; sudo chown root:root /root/workspace
그건 그렇고, /root이것은 장착 지점으로 매우 특이한 장소라는 점에 유의하십시오. /media/workspace임시로 마운트된 볼륨에 더 일반적이거나 /media/workspace항상 마운트된 볼륨용으로 만드세요 /workspace./home
또는 파일이 암호화된 볼륨에 있는지 모르는 경우에도 흥미로울 수 있습니다. 명령줄에서 이를 알 수 있는 방법은 다음과 같습니다. (노틸러스에도 분명히 방법이 있습니다. 아마도 Gnome 파일 열기 대화 상자에도 있지만 익숙하지 않습니다.)
df /path/to/file
findmnt
이 명령은 - "여유 디스크"를 의미하는 df볼륨에 사용 가능한 디스크 공간이 얼마나 되는지 표시합니다. 또한 볼륨 이름과 마운트 지점도 표시됩니다. 볼륨 조직에 따라 이는 문제를 설명하기에 충분할 수 있습니다. 그렇지 않은 경우 출력에서 볼륨을 찾아 암호화된 볼륨의 하위 볼륨인지 확인합니다./path/to/filedffindmnt